Saintstealer złośliwe oprogramowanie

Badacze bezpieczeństwa opisali niedawno nowy szkodliwy ładunek. Omawiane złośliwe oprogramowanie to narzędzie wykradające informacje z bogatą funkcjonalnością o kryptonimie Saintstealer.

Saintstealer może przeszukiwać i eksfiltrować zarówno informacje systemowe, jak i różne dane uwierzytelniające. Dystrybuowany pod nazwą „saintgang.exe”, Saintstealer jest kompilowany jako 32-bitowy plik wykonywalny, który wykorzystuje platformę .NET. Jak można się spodziewać, złośliwe oprogramowanie ma wbudowane środki antywirtualizacyjne, dzięki czemu może uniknąć pułapek miodu i środowisk testowych badaczy.

Złodziej informacji wykracza poza to, co potrafi większość podobnych złośliwych programów. Saintstealer może pobierać dane autouzupełniania formularzy z Chrome i Edge oraz kraść pliki cookie i hasła. Może również przechwytywać tokeny uwierzytelniania wieloskładnikowego Discord i kraść informacje z zainstalowanych instancji Telegrama i wielu popularnych aplikacji VPN. Złośliwe oprogramowanie może również zbierać dokumenty w postaci zwykłego tekstu i MS Word.

Po zakończeniu zbierania danych Saintstealer spakuje wszystko do jednego pliku archiwum, umieszcza w nim hasło i wysyła je do operatorów złośliwego oprogramowania. Oprócz tego metadane zarejestrowane podczas procesu gromadzenia i eksfiltracji są przekazywane do serwera dowodzenia i kontroli złośliwego oprogramowania.

Adres IP, którego Saintstealer używa jako infrastruktury serwerowej, jest tym samym, którego używają starsze zagrożenia typu infostealer, takie jak EchelonStealer i QuasarRAT.

Saintstealer jest sprzedawany jako usługa abonamentowa za 100 USD miesięcznie. Jednorazowy zakup dożywotniej „licencji” na to złośliwe narzędzie jest również oferowany na forach hakerskich za kwotę 900 USD.

Złodzieje informacji mogą wydawać się złośliwym oprogramowaniem o stosunkowo niewielkim zagrożeniu, ale w rzeczywistości, w zależności od charakteru skradzionych informacji, mogą wyrządzić znaczne szkody zarówno organizacjom, jak i podmiotom komercyjnym oraz użytkownikom domowym.

May 11, 2022